Javier Muñoz de HackerCar me pedía a principios de semana unas palabras sobre NameSouth, una empresa estadounidense de recambios de coches que estos días fue víctima de un hackeo. Los cibercriminales sacaron al parecer 3GBs de información tras infectar a la compañía con un ransomware, principalmente documentos fiscales, legales, y de sus trabajadores. Pidieron un rescate, y al negarse a pagar la cuantía que pedían, acabaron por liberar toda esa información en la DarkNet. ¿Qué hacer en caso de una extorsión?
Estas fueron las preguntas que me hicieron y mis respuestas (ES):
Índice de contenido
- ¿Qué debería haber hecho esta empresa para haber evitado este robo de información? Y en líneas generales, ¿cómo debería proteger una empresa sus datos confidenciales?
- ¿Hizo bien la empresa no pagando el rescate que le pedían los crackers? ¿Cómo hay que actuar en estos casos?
- ¿Qué consecuencias podría sufrir la empresa ahora que esa información es pública?
- ¿Qué medidas debería tomar para protegerse de nuevos ataques causados por la difusión de la información extraída?
¿Qué debería haber hecho esta empresa para haber evitado este robo de información? Y en líneas generales, ¿cómo debería proteger una empresa sus datos confidenciales?
A ver, cada organización es un mundo, pero lo recomendable en estos casos en particular (ransomware y filtrado de información confidencial), además de tener un sistema de alerta temprana implementado que nos alerte de potenciales filtraciones, pasaría por:
- Establecer controles de seguridad efectivos (sistemas inteligentes de detección, sistemas de gestión de incidentes de seguridad, cortafuegos, honeypots…) que analicen el tráfico y actividades potencialmente sospechosas dentro de las fronteras de la organización, y bloqueen accesos según salten las alarmas.
- Contar con una política de compliance correctamente aplicada (dejo claro que no vale solo con tenerla, hay que cumplirla…) que evite, por ejemplo, que un usuario infectado pueda exponer todos los recursos de la organización y no únicamente los que compete a sus labores.
- Cifrar la información sensible y forzar el tratamiento de dicha información mediante canales cifrados. Por eso de que, una vez hecho el daño, al menos no puedan recompartir los datos en texto plano como parece que ocurrió en este caso.
¿Hizo bien la empresa no pagando el rescate que le pedían los crackers? ¿Cómo hay que actuar en estos casos?
La respuesta rápida y sencilla es decir que sí.
Ten en cuenta que estás hablando con cibercriminales. Nada te asegura que, una vez pagado, de verdad te devuelvan el acceso a tus documentos y cumplan su palabra de no publicar igualmente la información robada. Es más, puede ocurrir perfectamente que pagues, y que te vuelvan a extorsionar para que pagues aún más.
A fin de cuentas, este es el modelo de negocio típico de las extorsiones en Internet (pedir poco al principio, y luego ir pidiendo cada vez más, a sabiendas que la víctima una vez que paga una vez, ya seguramente pagará al menos otra u otras dos más antes de negarse).
Una vez estamos ante un caso como este lo recomendable primero de todo es acudir a las autoridades (Policía, Guardia Civil), y si no contamos con un equipo especializado, contratar a una compañía o experto que nos asesore sobre siguientes acciones.
Al final piensa que en este tipo de situaciones lo que interesa es volver a la normalidad lo antes posible, ya que por regla general mientras tenemos el sistema infectado por un ransomware, se bloquea parcial o totalmente la operativa diaria de la organización. Y eso es una pérdida constante de facturación (ya no es que no produzcas, es que directamente pierdes dinero).
¿Qué consecuencias podría sufrir la empresa ahora que esa información es pública?
La más importante, ya que afecta directamente a las arcas de la compañía, son los potenciales costes de una multa por inclumplimiento de contrato con algún cliente y/o exposición de datos privados. Por supuesto en esto ya depende qué regulación compete a cada organización, y si se puede demostrar que hicieron previamente todo lo posible para remediarlo o se puede achacar a una mala praxis organizacional.
Y por supuesto el factor reputacional, que afecta en primera fase de forma indirecta a las arcas, y a medio/largo plazo de forma directa.
En este caso, al parecer, los datos se hicieron públicos mediante una página de la darknet. Es decir, que seguramente en primera instancia quien se enteró de ello fueron otros cibercriminales suscritos al blog donde fue expuesta la información, y probablemente también gente del sector de la seguridad.
Ahora bien, al poco fueron varios medios digitales los que dieron a conocer la situación, como es el caso de esta página. Y al final eso no deja de ser un chorreo de enlaces reputacionalmente negativos asociados a la imagen de marca… Enlaces que un potencial cliente, o un cliente, van a ver cuando busquen información sobre la compañía.
¿Qué medidas debería tomar para protegerse de nuevos ataques causados por la difusión de la información extraída?
Lo mismo que te comentaba al principio de la entrevista. Establecer sistemas de alerta temprana, bunkerizar y compartimentar por permisos el acceso a la información por parte de todos los trabajadores, y cifrar las comunicaciones y sobre todo los documentos sensibles.
Eso y formar en competencias digitales a sus empleados, ya que muy probablemente ese ransomware, como el 95% de los ataques a empresas, entró no debido a un fallo de seguridad, sino a un fallo humano (un trabajador que fue engañado para descargar, abrir o pinchar lo que no debía).
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.